情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成29年度秋期 午前Ⅱ 問13: 基本評価基準,現状評価基準,環境評価基準の三つの基準で情報システムの脆弱性の深刻度を評価するものはどれか。
←情報処理安全確保支援士試験 平成29年度秋期 午前Ⅱ
基本評価基準,現状評価基準,環境評価基準の三つの基準で情報システムの脆弱性の深刻度を評価するものはどれか。
問題本文
基本評価基準,現状評価基準,環境評価基準の三つの基準で情報システムの脆弱性の深刻度を評価するものはどれか。
選択肢
- ア.CVSS
- イ.ISMS
- ウ.PCI DSS
- エ.PMS
解説
CVSS(Common Vulnerability Scoring System)は、脆弱性の深刻度を共通の指標で点数化する手法。攻撃の難易度や影響など脆弱性そのものを表す基本評価基準、攻撃コードの有無など時間で変化する現状評価基準、利用環境を反映する環境評価基準の三つで評価する。よってアが正しい。実務ではCVSSスコアが脆弱性の優先順位付けやパッチ適用判断の共通言語として広く使われている。
選択肢ごとの解説
- ア.基本・現状・環境の三基準で脆弱性の深刻度を評価するCVSSの説明どおりで正解。
- イ.ISMSは情報セキュリティ管理の枠組みであり、脆弱性の深刻度評価手法ではなく誤り。
- ウ.PCI DSSはカード情報を扱う事業者のセキュリティ基準で、脆弱性スコアリングではなく誤り。
- エ.PMSは個人情報保護のマネジメントシステムであり、脆弱性評価とは無関係で誤り。
情報処理安全確保支援士試験 平成29年度秋期 午前Ⅱ の過去問一覧へ戻る・問13